Manuel Lobo, Servicio de Protección de datos de CECE ¿Qué te cuentas?

Manuel Lobo es licenciado en Derecho por la Universidad de Sevilla, amplió su formación en la Academia Sevillana del Notariado y obtuvo el Máster en Derecho de las Telecomunicaciones por la Universidad Pontificia Comillas (ICADE-ICAI). Completó el Programa de Desarrollo Directivo (PDD) en IESE Business School, centrado en liderazgo y gestión estratégica.

Inició su trayectoria en los despachos Cremades & Calvo-Sotelo, Veloso Abogados y Hernanz Abogados, donde se especializó en derecho tecnológico y contratación.

Desde 2005 trabaja en la Confederación Española de Centros de Enseñanza (CECE) como especialista en protección de datos y asesor jurídico laboral, representando a la organización en distintas comisiones de la CEOE y en la negociación de convenios colectivos del sector educativo.

1. Manuel, ¿cómo llegaste al ámbito de la protección de datos y, en concreto, a coordinar este servicio dentro de CECE?

Vine a Madrid en el año 1999 para hacer un máster en telecomunicaciones y nuevas teconologías en ICADE-ICAI, impartido por el Despacho Cremades & Calvo Sotelo. Fue ese año cuando se aprobó precisamente la ya derogada LOPD del 99. Ahí tomé contacto con la protección de datos de carácter personal y orienté mi profesión hacia este ámbito.

Recién aterrizado en la CECE de la mano de Mariano del Castillo hace ahora justo 20 años, diseñamos un servicio que permitiera a los centros asociados cumplir con la incipiente normativa, asesorados por un abogado especialista en la materia a un coste mínimo. ¡Y hasta hoy!

2. El Servicio de Protección de Datos (SPD) es una iniciativa de CECE Nacional. ¿Podrías explicarnos en qué consiste y cómo pueden beneficiarse de él los centros asociados a CECE Madrid?

El SPD se ha ido ampliando conforme ha ido evolucionando la normativa y han ido surgiendo nuevas leyes nacionales y europeas que han ido trayendo consigo nuevas obligaciones. A día de hoy es un servicio que comprende necesidades tales como la adaptación integral del centro a las exigencias normativas, con una evaluación de riesgos, un plan de tratamiento de los riesgos detectados en la evaluación y un registro de actividades de tratamiento. Los centros pueden acompañar el servicio de consultoría de todo tipo de cuestiones relativas a la protección de datos de carácter personal que surgen en el día a día de un colegio.

Otro pilar básico, y obligatorio por ley, es la formación del personal que ha de tratar con datos de carácter personal en sus quehaceres diarios. Tratándose de centros educativos, donde la gran mayoría de los titulares de los datos son menores de edad, la formación es fundamental. Por último hemos incorporado recientemente al departamento los servicios de implantación y gestión externa del canal de denuncias de la Ley 2/2023 y los Planes LGTBI de la Ley 4/2023.

El mayor beneficio para los centros y nuestra ventaja competitiva es, como ha sido siempre, nuestra experiencia, solo hacemos protección de datos para centros educativos, por lo que conocemos su funcionamiento en este ámbito como nadie más lo conoce, y por supuesto el coste de tales servicios, que fue nuestro leitmotiv desde el inicio.

3. En un colegio se gestionan datos de alumnos, familias y personal. ¿Cuáles son los errores o riesgos más habituales que observáis cuando un centro no cuenta con asesoramiento especializado?

¡Esta es muy fácil! Alumnos (familias) y empleados son los dos colectivos que, lógicamente, son los que pueden llegar a originar mayor conflictividad en el ámbito de la protección de datos en un centro educativo. Por tanto, no tener bien atado el tema de las autorizaciones para el tratamiento de sus datos, y muy especialmente el del uso de la imagen, traerá más tarde o más temprano importantes quebraderos de cabeza que es mejor atajar con prontitud. Además, otro foco de riesgo importante es, como mencionaba anteriormente, la falta de formación del personal (principalmente gerencia, administración y personal docente) que ha de tratar con datos de carácter personal.

Debemos tener en cuenta por supuesto que si el centro no cuenta con unos pilares sólidos sobre los que “empezar a construir”, como es una previa evaluación de riesgos, un plan de tratamiento de riesgos y un registro de actividades de tratamiento, por muy bien que tengamos atado todo lo anterior, lo construido se vendrá abajo fácilmente y careceremos de argumentos ante un eventual requerimiento de la AEPD.

4. Más allá del cumplimiento legal, la protección de datos también tiene que ver con las personas. ¿Cómo puede una buena gestión de la información contribuir al bienestar y la confianza de las familias, los alumnos y el propio equipo docente?

Generando en tus clientes, tus alumnos y sus familias, el pensamiento de “estoy en buenas manos”, lo que en definitiva termina redundando en tu reputación y tu prestigio como entidad educativa.

5. Si pudieras decirle algo a “los que mandan” (las autoridades públicas), ¿qué les dirías que hace falta para que el sistema educativo mejore?

Ciñéndome al ámbito de la protección de datos, se echan en falta instrucciones claras en cuanto a los plazos de conservación de los diferentes documentos que manejan los centros, ya que ello aligeraría la gran carga documental que soportan y reduciría considerablemente el nivel de riesgo vinculado a su conservación.